Mac OS X 10.4 ユーザーのためのセキュリティ
はじめに
私は、Mac OS X ユーザーにもセキュリティ対策に目を向けてほしいと思っています。
例えば、Apple は、Mac OS X 10.4 (Tiger) の発売から現在(2006年3月1日)に至るまでの間に14回も Security-Update を公開しました。これは、Mac OS X にも多数の Security-hole が存在していたことを示しています。
また、Internet への常時接続が普及している現在では、OS 環境に依存しないネットワークからの攻撃も存在します。勿論、もっと単純な攻撃方法として、他人が貴方の Mac を直接操作する場合もあります。
よって、Mac OS X ユーザーもセキュリティ問題に対して最低限の注意を払う必要があります。
ここで、私が想定しているセキュリティ問題とは、貴方の断り無く、他人が貴方の Mac 内のデータを直接覗こうとする場合と、ネットワーク上の他人が貴方の Mac 内のデータを遠隔操作で覗こうとする場合です。(便宜上「覗く」と書きましたが、データを盗まれるだけでなく、改ざんされたり、削除されたり、トロイの木馬を仕掛けられる場合も考えられます)
ただし、貴方自身の不注意(例えば、差出人不明メールの添付ファイルを開いてしまった場合や、正体不明で信用できないアプリケーションを実行してしまった場合など)が招いたセキュリティ問題は想定していません。(普段の生活と同様に、自分を守るための最低限の注意は必要です)
セキュリティ確保のための対策として簡単に思いつくことは「自分の Mac を他の人に触らせない」「ネットワークに接続しない」などがあげられます。しかし、PowerBook や iBook は持ち歩くことが前提のマシンですし、Internet や LAN に接続しない人は稀でしょうから、とても無理な話です。
私たちは、普段の生活の中で Mac を安全に利用できる対策を必要としています。
嬉しいことに Mac OS X 10.4 (Tiger) には、たくさんのセキュリティ機能が標準で提供されています。ここでは、Mac OS X 10.4.x が標準で装備している機能を用いて、Mac のセキュリティを高める方法を記します。この文書が、参考になれば幸いです
ところで、私はセキュリティの専門家ではありません。よって、本文中に私の勘違いによる間違いがあるかもしれません。そのときは、私に知らせて下さい。お願いします
【GUI 表記の説明】
本文中で使用した GUI 表記方法を次の例をもとに説明します。
<システム環境設定:アカウント:マイアカウント:パスワード:>
上記の<>内は、目的の画面にたどり着く手順で、マウスカーソルでクリックする順番を示します。この例では、「システム環境」「アカウント」「マイアカウント」「パスワード」の順に選択することを意味します。
管理者アカウントのパスワード (Password for the administrator)
購入してから最初に Mac OS X を使うときや Mac OS X インストール直後の設定では、利用者のアカウント (account) を作成しなければなりません。そこで、名前、ユーザ名、パスワードなどを入力しますが、特に重要なのは、ユーザ名とパスワードです。この組み合わせで Mac OS X は、利用者を認証するからです。ユーザ名は、利用者の作業場所 (Home folder) の名前でもありますから、後から変更するのは難しいのですが、パスワードはシステム環境設定で簡単に変更できます。
つまり、他人が簡単に思いつかないようなパスワードを設定することによって、他人の侵入を阻みます。現在のパソコンのセキュリティは、全てパスワードに依存しているため、とても重要です。以下、パスワードを作るときの注意事項を列挙します。
- 日本語は使えません。使用可能な文字は1バイトで表現できる英数字と記号です。ただし、空白(スペース)は使わない。
- 辞書に載っている単語や意味のある単語を使わない。
- 数字だけにしない。
- 個人情報(名前、ユーザ名、e-mail アドレスなど)を使わない。
- 社会生活で使用している番号(健康保険など)を使わない。
- ペットなどのお気に入りの名前を使わない。
- 上記の範疇における単語の繰り返しや入れ替えたものを使わない。
- 8文字以上にする。11文字以上ならなお良い。
- 大文字と小文字 (Uppercase & lowercase letters)、句読点、記号、数字を含める。
- 公開されている「良いパスワード」の例を使わない。
ログイン時に使用するパスワードの変更方法は、次の通りです。
<システム環境設定:アカウント:マイアカウント:パスワード:>
「パスワードを変更...」ボタンを押してから、
「古いパスワード:」に現在のパスワードを入力し、「新しいパスワード:」と「確認:」に新しいパスワードを入力します。
ここで、パスワード作成の支援機能が利用できます。
「新しいパスワード:」欄の右にある「鍵」ボタンを押して「パスワードアシスタント」を表示させ、「タイプ:」で「手入力」を選び、「候補:」欄に好みのパスワードを入力します。「品質:」欄の色が緑になれば大丈夫です。もしパスワードを考えるのが面倒な場合には、「タイプ:」で「ランダム」を選びます。すると「候補:」の右にパスワードの候補が表示されます。気に入らない場合は、そこのポップアップメニューから「ほかの候補」を選んで見てください。
次に、パスワード運用上の注意を列挙します。
- パスワードを共有しない。
- パスワードは誰にも知らせない。
- パスワードの覚え書きを残さない。
以上の注意を守りつつ、いろいろなパスワードを管理するには「キーチェーンアクセス」を利用するのが便利です。(アプリケーション・フォルダのユーティリティにあります)
最後に、Unix 互換 OS の利用経験のある方なら、管理者権限を持つアカウントと言うと root アカウントを思い出すことでしょう。しかし、Mac OS X の初期状態では、root アカウントが無効になっていますし、必要ありません。なぜなら、Mac OS X では、root アカウントとは異なる管理者権限を任意のアカウントに対して与えたり取り去ったりできます。ちなみに、利用者が最初に作成したアカウントには、管理者権限が自動的に付与されます。
<システム環境設定:アカウント:マイアカウント:パスワード:>
「ユーザにこのコンピュータの管理を許可」を選択すれば管理者権限を与えることができます。
root アカウントは「NetInfo マネージャ」で有効にすることができますが、セキュリティ上、無効にしておくべきです。(なぜなら、ネットワーク越しの攻撃者は、root アカウントの奪取を狙っているからです)
ログインウインドウ (Login-Window)
Mac の電源を入れると、何の認証も行われずに Finder 画面にまで到達します。これは、Mac OS X の初期状態で自動ログイン機能が有効になっているからです。この機能は、利用者にとって便利なのかもしれませんが、悪意を持った第三者にとっても便利であることを忘れてはなりません。
セキュリティ確保のために、Mac 起動時には必ずログインウインドウで認証を行うように設定し直す必要があります。設定方法は、次の通りです。
<システム環境設定:セキュリティ:>
- 「このコンピュータをスリープ状態またはスクリーンセーバから解除するときにパスワードを要求する」にチェックを入れる。
- 「自動ログインを使用不可にする」にチェックを入れる。
- 「保護されたシステム環境設定をそれぞれロック解除するのにパスワードを要求する」にチェックを入れる。
(これによって、ウインドウ左下の南京錠アイコンをクリックして認証されない限り変更ができません)
- 「安全な仮想メモリを使用」にチェックを入れる。
(これによって、仮想記憶ファイルが暗号化され、そこからパスワード等が抽出されることを防ぎます)
<システム環境設定:アカウント:ログインオプション:>
- 「自動ログインのアカウント」のチェックを外す。
- 「ログイン時の表示」は「名前とパスワード」を選択する。
- 「再起動、スリープ、システム終了のボタンを表示」のチェックを外す。
- 「ログインウインドウに入力メニューを表示」のチェックを外す。
- 「ログインウインドウでVoiceOverを使用」のチェックを外す。
- 「ファーストユーザスイッチを有効にする」にチェックを入れる。
以上の設定の後は、自分が Mac に触れていないときには、ログインウインドウを表示させ、認証待ちの状態にします。例えば、少しの間でも席を外すときには、メニューバーの右端にある「ファーストユーザスイッチ」メニューの「ログインウインドウ...」を選択します。これは、スクリーンセーバに頼るよりも安全だからです。(理由は、スクリーンセーバの認証ウインドウが、名前を表示してしまうからです)
通常の Mac ユーザーは、最初に作成したアカウントのみで Mac OS X を利用しているかもしれません。ところが、このアカウントは管理者権限を持ったアカウントなのです。もし、このアカウントでログインしている最中に、悪意あるプログラムを実行してしまうと、そのプログラムも管理者権限を持ってしまいます。
よって、日常の作業(Web 閲覧、Mail のやり取りなど)は、管理者権限を持たない通常アカウントでログインして行う方が安全です。もしも管理者権限が必要になった場合は、ファーストユーザスイッチ機能を用いて、管理者権限を持つアカウントでログインします。このとき、元のアカウントの作業は保持されていますから、いつでも元の作業に戻れます。
アカウントを追加した後で、その管理者権限を取り去る方法は、次の通りです。
<システム環境設定:アカウント:マイアカウント:パスワード:>
「ユーザにこのコンピュータの管理を許可」のチェックを外す。
Open-Firmware Password Protection
前述のログインウインドウによる認証は、Mac OS X が動作している限りセキュリティが保たれます。しかし、完全ではないのです。例えば「Mac OS X Install DVD」から再起動すると、管理者アカウントのパスワードをリセットできます。(詳細は下記 URL 参照のこと)
< http://docs.info.apple.com/article.html?artnum=106156-en >
< http://docs.info.apple.com/article.html?artnum=106156-ja >
このような攻撃に対処する方法として、Open-Firmware Password Protection があります。これは、Mac OS X が起動する前の段階 (Open-Firmware) で Mac を保護する仕組みです。これを有効にした場合の効果は、次の通りです。
- 「C」キーを使用して CD-ROM ディスクから起動する機能を無効にします。
- 「N」キーを使用して NetBoot サーバから起動する機能を無効にします。
- 「T」キーを使用してターゲットディスクモードで起動する機能を無効にします。
- 起動時に「Command」キーと「V」キーを同時に押して Verbose モードで起動する機能を無効にします。
- 起動時に「Command」キーと「S」キーを同時に押してシングルユーザモードで起動する機能を無効にします。
- 起動時に「Command」「Option」「P」「R」の各キーを同時に押して PRAM をリセットする機能を無効にします。
- 起動時に「Option」キーを押して “Startup Manager” にアクセスするときにパスワードを要求します。
- 起動時に「Command」「Option」「O」「F」の各キーを同時に押して Open-Firmware で起動後にコマンドを入力するときにパスワードを要求します。
Open-Firmware Password Protection を行うには、専用のツールが必要です。そのツール「Open Firmware パスワード」は、インストーラーディスクの「/Applications/Utilities/」フォルダに入っています。使用方法は、以下の URL を参照してください。
「Mac OS X 10.1 以降の Firmware Password Protection の設定方法」
< http://docs.info.apple.com/jarticle.html?artnum=106482 >
< http://docs.info.apple.com/jarticle.html?artnum=106482-en >
サービス (Services)
ここで言うサービスとは、ネットワーク (LAN, Internet) に接続している他のマシンに対して、ファイル共有 (File-Sharing) やリモートログイン (Remote-Login) など、利用者の Mac への接続を提供することです。初期状態の Mac OS X では、サービスのすべてが停止されています。これは、ネットワークからの攻撃(DoS (Denial of Service) 攻撃を含む)を阻止するためです。よって、必要な場合だけサービスを開始するようにします。注意すべき点は、サービスを開始していることを忘れないようにすることです。
サービスの開始と停止の方法は、次の通りです。
<システム環境設定:共有:サービス:>
「パーソナルファイル共有」「Windows共有」「FTPサービス」「リモートログイン」の中から必要なサービスを選んで「開始」ボタンを押せばサービスを開始します。同様に、停止させたいサービスを選んで「停止」ボタンを押せばサービスを停止できます。
ファイアウォール (Firewall)
ここで言うファイアウォールとは、ネットワーク (LAN, Internet) 経由の攻撃から利用者の Mac を守る機能のことです。Mac OS X には、ipfw (Internet Protocol FireWall) と呼ばれるファイアウォールが標準で装備されています。これは、各ポートのデータの流れを、決められた規則に従って制御するソフトです。
ファイアウォールを働かせる方法は、次の通りです。
<システム環境設定:共有:ファイアウォール:>
「開始」ボタンを押す。
ただし、ファイアウォールを使用している状態でも、任意のサービスを開始した場合には、そのポートが開いてしまいます。よって、使用していないサービスは直ちに停止した方が安全です。
FileVault
前述のセキュリティ対策だけでも十分な場合が殆どだと思いますが、それだけでは物理的な攻撃には対応できません。例えば、PowerBook が盗まれてしまった場合、Open-Firmware Protection やログインウインドウ認証が有効になっていたとしても、HDD を取り外して他のマシンでデータを読み取ることができます。このような攻撃からデータを守るには、データを暗号化しておくしかありません。その手段として、FileVault があります。
FileVault の仕組みは、ホーム・フォルダ(アカウント毎に割り当てられている作業領域)内の全てのデータを暗号化された Disk-image に移し、外部からの接続を阻むというものです。ログインしたときに暗号化された Disk-image をマウントし、通常のホーム・フォルダとして利用できるようにします。ログアウトしたときには、すぐにマウントが解除され、ホーム・フォルダはなくなります。
ただし、FileVault は万能ではありません。確かに、ログアウト中は暗号化された Disk-image ファイルとして存在するだけなので安全なのですが、ログインした時点でマウントされ、通常のホーム・フォルダ内のデータとして利用できてしまうからです。よって、ウイルスやネットワークからの攻撃を防ぐことはできません。
FileVault 機能を利用する方法は、次の通りです。
<システム環境設定:セキュリティ:>
- 「マスターパスワードを設定...」
- 「FileVault機能を入にする...」
データのバックアップや受け渡し
Mac OS X においても通常のパソコンと同様にデータのバックアップは重要です。現在は、CD-R や DVD-R でバックアップを作ることが多いと思いますが、重要なデータに関してはデータを暗号化してからバックアップすることをお勧めします。
また、重要なデータの受け渡しを行う場合、送信や運送の途中でデータを覗かれないようにするためにもデータの暗号化が必要です。
Mac OS X は、Disk-image ファイル(接尾辞が .dmg)をマウントすることで得られる仮想ディスク機能が提供されています。この Disk-image ファイルを作成するときに、パスワードを設定した暗号化が行えます。
暗号化された Disk-image の作成方法は、次の通りです。
- アプリケーション・フォルダ内のユーティリティにある「ディスクユーティリティ」(Disk Utility) を起動する。
- 「ファイル」メニューの「新規」の「フォルダからのイメージ...」を選択する。
- ここでバックアップするデータの入ったフォルダを選択して、「イメージ」ボタンを押す。
- 「フォルダからの新規イメージを作成」ウインドウが現れるので、「別名:」欄に適当な名前を入力して、保存場所を選択し、「暗号化:」は「AES-128(推奨)」を選択する。最後に「保存」ボタンを押す。
- 「認証」ウインドウが現れるので、任意のパスワードを「パスワード:」欄と「確認:」欄に入力し「OK」を押す。ここで「パスワードを記憶(キーチェーンに追加)」にチェックが入っていれば、貴方の代わりにキーチェーンがパスワードを覚えておいてくれます。
ここで、パスワード作成の支援機能が利用できます。
もしパスワードを考えるのが面倒な場合には、「パスワード:」欄の右にある「鍵」ボタンを押して「パスワードアシスタント」を表示させ、「タイプ:」で「ランダム」を選びます。すると「候補:」の右にパスワードの候補が表示されます。気に入らない場合は、そこのポップアップメニューから「ほかの候補」を選んで見てください。
ソフトウェア・アップデート (Apple Software Update)
Mac OS X には、ソフトウェア・アップデートと呼ばれる Apple 純正のソフトを Internet 経由で自動的に更新する仕組みが備わっています。更新内容としては、バグ修正や機能強化の他に、セキュリティ問題への対応 (Security-Update) も含まれます。
ソフトウェア・アップデートは、システム環境設定によって、現在必要なアップデートが存在するのかどうかを自動的に調べるように設定できます。設定方法は、次の通りです。
<システム環境設定:ソフトウェア・アップデート:ソフトウェアをアップデート:>
「アップデートをチェックする」のチェックを入れたままにし、「毎日」を選択する。(ただし、ダイアルアップ環境の人にはお勧めしません)
また、Appleは、ソフトウェア・アップデートで提供されているものと同じアップデートを個別のファイルとして公開しています。
< http://www.apple.com/support/downloads/ >
セキュリティ・アップデート情報
累積的なセキュリティ・アップデート情報は、下記 URL から得られます。
Apple Security Updates page
< http://www.info.apple.com/usen/security/security_updates.html >
Appleから直接セキュリティ・アップデート情報を得たい場合は、「Apple Security-announce」メーリングリストを利用します。
< http://lists.apple.com/mailman/listinfo/security-announce >
ウイルス (Viruses)
今のところ、Mac OS X 環境を狙ったウイルスは見つかっていないようです。しかし、これを持って将来に渡ってウイルスの不安が無いとは言い切れません。仮に Mac OS X 環境を狙ったウイルスが無いとしても、世の中には Windows 環境を狙った多種多様のウイルスが存在します。よって、これらのウイルスの拡散を防がなければなりません。
また、OS 環境に依存しないウイルスも存在します。例えば、マクロウイルス (Macro-Virus) は、アプリケーション(ワープロや表計算ソフトなど)固有のマクロ言語でプログラムされているため、アプリケーションに依存しますが、OS には依存しません。
ウイルス対策には、ウイルス駆除ソフトが必要です。信頼できるウイルス駆除ソフトを一つ用意し、定期的なウイルス検査をお勧めします。ウイルス駆除ソフトの運用で気を付けることは、頻繁にアップデートすることです。(ウイルス駆除のデータベースは、少なくとも月一回は更新されています)
勿論、「差出人不明メールの添付ファイルを開かない」「信用できないアプリを起動しない」ことが重要です。
【追記】2006年2月13日「最初の Mac OS X ウイルス?」と騒がれた「Oompa-Loompa または OSX/Leap-A」は、トロイの木馬(Trojan horse)でした。(偽装に騙されてダブルクリックするようなことがなければ大丈夫)
メールで SSL を利用する
メールの送信や受信を行う場合、メールサーバーでユーザ名とパスワードによる認証が行われます。この認証手続きは、メールソフト(Mail.app など)とメールサーバーの間で自動的に行われますから、利用者が意識することはありません。ここで注意すべき点は、メールサーバーに送信されるユーザ名とパスワードが可読文字 (Clear-text) だと言うことです。つまり、利用者とメールサーバーの間で傍受されると、ユーザ名とパスワードを盗まれてしまいます。これは、電話や ADSL などでプロバイダに PPP (Point-to-Point Protocol) 接続する場合には問題になりませんが、利用者の Mac とメールサーバーの間に LAN や第三者のサーバーなどが介在する場合には問題になります。ただし、PPP 接続しているプロバイダと異なるプロバイダのメールサーバーを利用する場合にも問題になります。例えば、.Mac のメールサーバーを利用する場合です。
この問題に対処する方法は、メールサーバーに対してユーザ名とパスワードを暗号化して送信することです。この暗号化には、SSL (Secure Sockets Layer) が使われます。ただし、メールサーバーも SSL に対応していなければなりません。(.Mac は対応しています)
Mail.app で SSL を使用する方法は、次の通りです。
Mailメニューから「環境設定...」を選択し、「アカウント」を表示させる。
- 「詳細」タブにおいて、「SSLを使用」にチェックを入れる。「認証:」は「パスワード」(これ以外の選択も可能)。
- 「アカウント情報」タブにおいて、「送信用メールサーバ (SMTP):」項目の「サーバ設定...」ボタンを押す。そこで「SSL (Secure Sockets Layter) を使用」にチェックを入れる。「認証:」は「パスワード」(これ以外の選択も可能)。
暗号化メール
メールを送信した場合、その文書は相手に届くまでの間も可読文字 (Clear-text) です。つまり、途中で傍受されると、文書の内容を知られてしまいます。この問題に対処する方法は、文書を暗号化してから送信することです。
ところが、メールのやり取りは不特定多数の人達と行われますから、従来の(鍵が一つの)暗号化の方法では安全を保てません。そこで考え出されたのが、公開鍵暗号です。これは、暗号化と復号化を別の鍵で行うという暗号のことです。具体的には、まず、自分固有の一対の鍵(公開鍵と秘密鍵)を作ります。公開鍵 (Public-Key) は一般に公開して、メールの暗号化に使ってもらいます。復号化は公開鍵では行えず、自分だけが持っている秘密鍵 (Secret-Key) だけが行えます。
次に問題となるのは、メールには送り主が本人であるかどうかを確認する手段が無いことです。第三者による「なりすまし」もあり得ます。この問題に対処する方法は、デジタル署名 (Digital-Signatures) です。
デジタル署名は、自分固有の秘密鍵で行います。そのデジタル署名の検証は、公開鍵で行いますから、誰でも行えます。この時、データが変更されていないかどうかの検証も行われますから、送信途中でのデータの改ざんを見つけることができます。
以上の公開鍵暗号とデジタル署名機能を最初に実現したソフトが PGP (Pretty Good Privacy) で、公開鍵暗号やデジタル署名の代名詞となっています。そして、GNU ライセンスの下で暗号化アルゴリズムに特許を含まないソフトが GnuPG (Gnu Privacy Guard) です。(GPG と表記される場合もあります)
Mail.app には、公開鍵暗号やデジタル署名の機能として S/MIME (Secure / Multipurpose Internet Mail Extensions) が実装されています。これは、私が紹介している「GnuPG と GPGMail、GNUMail」と似たものですが、大きな違いがあります。S/MIME を利用するためには、秘密鍵と公開鍵を第三者機関 (Certification Authorities) に作ってもらい、証明書として発行してもらわなければならないと言うことです。これに対して、PGP や GnuPG を利用するための秘密鍵と公開鍵は自分で作れば良いのです。よって、個人的な利用には、GnuPG をお勧めします。
Mail
Mail におけるその他の設定は、以下の通りです。
「環境設定...」で「表示」を表示させます。
- 「HTML メッセージにリモートイメージを表示する」のチェックを外す。
(これによって、あなたのメールアドレスが有効であることを迷惑メール発信者に確認させない効果があります)
- 「スマートアドレスを使用する」のチェックを外す。
(勘違いを防ぐためにもメールアドレスを常に表示しておいた方がよいです)
Safari
現在では、Web-browser を通して危険にさらされる場合が増えています。これは、ユーザーと外界 (Internet) とをつなぐ窓口であることから、当然の結果ともいえます。ユーザー自身が危険なファイルをダウンロードして実行してしまった場合には仕方のないことですが、そうでない場合の危険を回避できるように設定しておく必要があります。
- 「環境設定...」の「一般」を表示させ、「ダウンロード後、"安全"なファイルを開く」のチェックを外しておく。
(これによって、望まないファイルのダウンロードからインストールまでの自動化を阻むことができます)
- 「環境設定...」の「セキュリティ」を表示させ、「Cookie の受け入れ:」項目は「訪問したページのサーバからのみ受け入れる」を選択する。「セキュリティ保護されていないフォームをセキュリティ保護された Web サイトに送信する前に確認する」にチェックを入れる。
(可読文字 (Clear-text) で送信されてもよいのかを確認できるように)
管理者権限を持つアカウントに対しては、以下の設定も加える。
- 「環境設定...」の「セキュリティ」を表示させ、「Web コンテンツ:」項目の「プラグインを有効にする」と「Java を有効にする」と「JavaScript を有効にする」のチェックを外しておく。
(誤って危険な Web-page を閲覧してしまった場合に備えての保険です)
By: Tomio